基于外包視角的企業信息安全管理策略研究

康飛宇

摘要：互聯網時代的不斷發展，企業的日常運行和商業管理越來越依賴于信息系統的應用。中小企業通過將信息安全外包給管理安全服務供應商（MSSP）可以最大程度降低信息安全風險。本文介紹了互聯網背景下信息安全外包服務的特征和問題，基于前人研究將分期付款的概念引入到信息安全外包服務中，能幫助企業有效甄別不同類型安全服務供應商（MSSP），為企業如何有效優化企業信息安全投資成本、提升信息安全水平等提供理論依據。

關鍵詞：外包;信息安全;分期付款;策略研究

隨著技術的廣泛運用，信息系統的安全性變得越來越關鍵。如果信息系統出現信息泄露、信息缺損、信息不可控等方面的任何問題和故障都會給企業的聲譽和日常運作帶來很大的影響，因此如何有效地保障信息安全及避免黑客入侵受到社會各界的日益關注。如圖1所示，2012年至2017年中國信息安全市場規模的年復合增加率為20.10%，2017年約為41.56億美元，同比增長23.91%。

一、基于外包視角的信息安全服務市場發展

雖然部分企業具有控制一定風險的能力，實施自主管理信息安全。但近年來，將安全業務外包給管理安全服務供應商（MSSP）已成為應對不斷變化的安全挑戰的關鍵策略。信息系統安全外包市場在北美、亞太和歐洲地區最近幾年都得到了兩位數的快速增長，專家預計在未來幾年將保持30%-40%的年度增長率，通過信息系統安全外包可使企業的信息系統安全需求得到有效的滿足和保障。據Frost and Sullivan調查顯示，全球MSSP市場在2016年將達到147億美元，預計年均增長18.5%。伴隨信息安全產業爆發式機遇，我國信息安全行業市場大面積快速增長，對信息安全保障投資日趨增加。據《2015-2020年中國信息安全行業市場全景分析與投資風險預測報告》顯示，我國信息安全產業在2012年的規模僅為157.26億元，四年時間內這一市場規模已升至341.72億元，年均復合增速達到21.4%。

二、互聯網背景下信息安全外包的特征

然而，信息系統安全外包作為一種新興的外包領域，除了具有傳統外包的特征，還具有其獨特之處。MSSP極可能在保證自身利益最大化的前提下，通過降低努力度來消減其運作成本，這屬于委托代理關系中的道德風險問題。和其他的外包（如工程外包）有著共同點。不同的是，企業不能很好得知MSSP對信息安全的投入績效，故難以在信息安全外包全過程中宏觀把握MSSP的服務質量[1]。面對各種不同的信息系統安全戰略，企業需要在不同的安全成本和安全環境下，根據信息系統安全外包的特點，在不同的外包技術配置方案下優化技術參數，設計合理的信息安全外包契約有效激勵MSSP的服務行為。尤其在我國，信息系統安全外包尚處于發展初期，如何有效設計信息安全外包契約進行風險控制管理顯得尤為重要。

三、引入分期付款的信息安全外包服務分析

目前國內外關于信息安全外包的研究方向聚焦于信息安全外包激勵契約設計，但在已有的研究成果中大多數只考慮環境和利益相關主體相對靜態的情形，較少考慮信息安全環境隨時間的動態變化，例如黑客攻擊能力增強等方面的動態變化。企業尋找到合適的管理安全服務供應商（MSSP），并且通過措施來激勵MSSP的努力水平上升從而有效地控制信息安全風險的問題是信息安全外包成功的先決條件。鑒于信息安全復雜和動態變化的特點和已有的研究基礎，本項目將分期付款方式引入到信息安全契約設計中，基于動態獎勵的原則，企業會評估服務承包商的已有完成情況來決定后面的資金發放問題。一方面可以解決企業資金的運轉不足問題，減少了一次性付款存在的風險問題;另一方面，企業可以看清MSSP的工作進程及工作質量，發揮其最大努力水平，企業也會更愿意與其長期合作，減少了資金的浪費、提高了效率。特別地，分期周期時間越短，付款次數越頻繁，企業對承包商的掌握程度越大，但付款次數越多也會花費時間精力，因此不是越多越好[2]。

四、結語

大數據時代的下，信息系統有了新的發展特征，企業信息安全外包也面臨著更多的風險和挑戰，如何優化企信息安全外包策略以降低雙邊道德風險成為了十分重要的內容。因此，需要不停地對中小企業信息安全外包策略體系進行完善和創新，并不斷提升企業內在的防御機制，才可以保障企業可以可持續發展。這將是信息系統安全保障的必然趨向，也是社會大環境的發展潮流。

參考文獻：

[1]顧建強， 梅姝娥， 仲偉俊. 信息安全外包激勵契約設計[J]. 系統工程理論與實踐， 2016， 36（2）： 1057-1062.

[2]王陸玲， 王國鋒， 賴明勇， 等. 基于分期付款的服務供應商合作意愿甄別研究[J]. 中國管理科學. 2013， 21（1）： 118-124.

作者簡介：

康飛宇（2000-），漢族，本科。